連載
STPAの手順を理解する:基礎から学ぶSTAMP/STPA(2)(3/4 ページ)
連載の第1回では「STAMP/STPAとは何か」「既存の分析手法と何が違うのか」に焦点を当て、分析手法の流れを紹介した。第2回は、STPAの実践手順を解説する。各ステップで「何をすべきか(What)」と、具体的に「どうすればよいのか(How)」を中心に紹介していく。
ステップ1:非安全なコントロールアクションの抽出
本稿ではステップ1を「非安全なコントロールアクションの抽出」としている。
コントロールストラクチャーをベースに、制御対象のプロセスに対するコントローラーからのアクションのうち、以下の4つのタイプの安全でないコントロールアクションを抽出する。
- 与えられないとハザード:Not Providing
→安全のために必要とされるコントロールアクションが与えられないことがハザードにつながる - 与えられるとハザード:Providing causes hazard
→ハザードにつながる非安全なコントロールアクションが与えられる。あるいは、本来安全のために必要とされるコントロールアクションが不適切な条件や形態で与えられる - 早過ぎ、遅過ぎ、誤順序でハザード:Timing:Too early/too late, wrong order causes hazard
→安全のためのものであり得るコントロールアクションの開始タイミングが、早すぎたり遅すぎたり、順序通りに与えられないことでハザードにつながる - 早過ぎる停止、長過ぎる適用でハザード:Duration:Stopping too soon/applying too long causes hazard
→連続的、または非離散的なコントロールアクションにおいて安全のためのコントロールアクションの停止が早すぎて適用時間が短すぎる、もしくは停止が遅すぎて適用時間が長すぎることがハザードにつながる
ステップ1の分析に使うフォーマットに決まりはないが、非安全なコントロールアクション(Unsafe Control Action:以下、UCA)のドキュメント化のためには、次のような表を用いるのが便利とされている。
| コントロールアクション | 与えられないとハザード | 与えられるとハザード | 早過ぎ、遅過ぎ、誤順序でハザード | 早過ぎる停止、長過ぎる適用でハザード |
|---|---|---|---|---|
| (コントロールアクション) | (条件) | (条件) | (条件) | (条件) |
| … | … | … | … | … |
| 表1 UCA識別に用いる表の例 | ||||
UCAは、安全のために必要なルールと関連付けて考えることができるため、UCAの分析から安全制約を作り出すことも可能である。このため、安全制約をステップ1の段階で作成したり、作成済みの安全制約をUCAの分析結果をもとに見直したりすることもできる。STAMP/STPAは、分析の途中で新たな発想を得やすいという点が長所でもあり、STAMP/STPAが「強制発想手法」とも呼ばれるゆえんである。自由な発想を導き易くする手法なのである。
Copyright © ITmedia, Inc. All Rights Reserved.